出海,已不再是企业的“备胎”,而是必须面对的“大考”!在这个全球化的大潮中,有的企业乘风破浪,勇攀高峰,也有的企业在异国他乡遭遇了“水土不服”。 面对“要么出海,要么出局”的抉择,中国企业该如何破局,实现高质量“出海”呢? 本文内容节选自《中国企业出海研究报告(2024)》,若您对全文感兴趣,欢迎下载完整报告!
1.2 GDPR以及它对组织的影响
GDPR定义:
“通用数据保护条例”(General Data ProtectionRegulation,简称GDPR)是欧盟(EU)制定的一项新法规,它涉及个人数据的保护和自由传输以及个体(包括儿童)的权利。这是一组规则,它将取代现有的“数据保护条令”(Directive95/46/EC),并且将在整个欧盟内实施。GDPR使欧盟居民有能力按其意愿直接控制其数据的处理方式,并保护其数据隐私。
在国外,GDPR作为欧盟针对个人隐私信息保护的法规,在2018年5月份正式实施以来,累计罚款已超过12亿欧元,这也意味着欧盟对个人隐私信息的保护和监管达到了前所未有的高度。
在国内,作为国内个人隐私信息保护的《中华人民共和国个人信息保护法》也已于2021年11月1日正式执行,对于提供SaaS服务的企业来说,加强并落实个人隐私信息保护势在必行。
GDPR涉及范围:
罚款程度:
GDPR强调数据所有者的知情权:
不得收集提供服务必需之外的数据,收集之后不得滥用用户数据,同时还必须履行保护用户数据的义务;处理数据时,要求数据控制者说明如何收集处理个人数据,包括数据接受者类型、个人数据保留周期及采取该周期的理由等。
前者是指用户提出数据删除要求时,企业需要在数据库内找到数据并删除,如果数据已传播或提供给第三方使用,企业依然有责任通知使用者予以删除。
如涉及自动化数据处理(如数据画像等)数据控制者还需要提供基本的算法逻辑及针对个人的运算结果。
在数据泄露事件发生时,根据GDPR的数据泄露通知要求,企业必须在发现数据泄露的72小时内通知相关部门。
2)合同-您与个人签订合同,以提供他们所申请的商品或服务。在此情况下,您处理数据以履行合同。
示例:在履行合同期间,客户通过电子邮件索取更多信息,组织处理其个人数据以回应该请求
3)法律义务-根据法律的要求,您必须处理该数据。
示例:政府机构需要职员的薪酬详细信息,或某项调查要求处理个人数据
4)切身利益-您需要处理数据,以保护某人的生命安全或处理紧急情况。
示例:收集人员的个人详细信息,以便在突发事件或火灾中确保其人身安全
5)公众任务-您为满足公众利益而需要执行任务(通常以政府机构或政党等身份执行)。
示例:政府当局处理数据,以进行科学研究、调查或公众健康研究
6)合法利益-您的组织有真实而合法的原因来处理数据,其目的不侵犯数据主体的权利。
示例:客户未支付其发票款项,因此公司需要处理该客户的数据以收集支付信息。或者为进行管理,组织处理职员的个人数据以确定薪酬
1.6 数据角色定义及CRM平台应如何满足法规
数据控制方Controller(甲方企业公司):
负责确定待收集的个人数据类型以及使用方式。数据控制方是决策者,对处理个人数据的目的、方式及用途有控制权。有时个人数据由多方联合控制,即由两个或更多实体决定如何处理收集的数据。数据处理方遵照控制方的相关指示,代理他们执行数据的处理。因此,相比处理方,控制方要遵守更严格的条例规定。对收集到的个人数据的控制权归数据控制方所有,而不会移交。
数据处理方Processor(纷享销客CRM):
数据主体(企业员工、终端联系人):
1)数据收集阶段:
产品应提供未得到数据主体同意的数据限制相关操作功能及提供同意表单,正确征求数据主体同意并进行记录。
2)数据处理阶段:
纷享销客做为【数据处理方】,在CRM系统中提供更多选项可以帮助客户保护数据主体的数据,以及满足GDPR中制定的安全和隐私标准。除此之外,还必须确保不与第三方一起处理和共享个人信息(普通信息或敏感信息)。
3)数据主体行使权利:
在CRM合规性设置(Compliance setting)中,企业可以管理及跟踪所有这些请求的方式来处理这些选项。
2. 合规:数据跨境传输
2.1 企业所属【行业】,在各国家地区对应不同监管程度,例:
印尼(东南亚):2020年出台第八套条例,要求公共电子系统运营商,必须在印度尼西亚境内去管理、储存和存储其电子系统和电子数据
越南:53号法例,针对【关键基础设施】行业【网络类数据】要求较高
2.2 案例
1)组织管理侧合规
数据合规管理建设依据行业属性及合规复杂度,在组织中设置DPO(Data Protection 0fcer)角色
搭建数据合规管理体系(政策制度、行为准则流程规范)
数据安全合规培训及文化意识宣讲
数据资产梳理及维护
技术措施保障数据安全,例: 数据脱敏、加密、匿名化、存储期限设定及自动化删除、权限控制、日志跟踪等
数据安全合规要求嵌入IT系统开发/运维数据安全管控成为系统默认配置
2. 数据主体的隐私数据管理建议
首先,征得员工数据主体同意
根据不同国家法规以及业务要求签订相关协议
2)数据主体是【终端线索/联系人】:
主动以留痕的方式获得数据主体同意:
增加隐私声明的公示
建议系统中不记录个人敏感信息(例:经济、家庭、肤色、宗教等)
不可贩卖数据/过度营销,对数据主体造成骚扰:
名片上的信息属于商业联系人信息,不属于个人隐私数据,但不可贩卖数据,不停打电话做营销动作,此类行为在某些国家会被严格限制
充分满足数据主体对数据处理的请求。例:删除、修改、导出数据等
1. 个人隐私数据
1.1 纷享销客安全和隐私保护
欧盟与2018年颁布《通用数据保护条例》即GDPR。美国与2020年在加州开始实施迄今为止最高的数据保护法案CCPA。我国也在2021年先后颁布了《数据安全法》和《个人信息保护法》。
通过完整支持GDPR法规功能的建设(个人数据标识与管理,数据主体权利操作管理,数据授权流程管理等)以及海外IDC的部署,满足企业海外系统的合规,信息安全,个人信息隐私保护等需求。
1.2 SOC1 Type2& SOC2 Type2报告
SOC1 Type2报告:
SOC1&SOC2适用场景:
1.3 纷享销客CRM的七层安全和隐私合规保护体系
2. 产品能力支撑-海外数据中心部署
2.1 纷享销客国际IDC布局和访问链路加速
数据中心(IDC)纷享销客采用托管机房模式,北京、广州两地三中心的部署:
1)KDDI北京亚太中立数据中心
2)北京铁通T3数据中心
3)中国移动南方基地(广州)
尼日利亚-拉格斯
2.2 数据中心部署方式及集成场景
租户数:如果海外业务流程是否与国内业务【差异大】且【均复杂】、且【无协助效益】,则建议可以拆分租户
2.3 数据中心部署方式及集成场景
阅读下一篇
电子书/视频干货推荐